Registrazione delle connessioni in uscita mentre si verificano


23

Esiste un modo per accedere per archiviare tutte le connessioni in uscita create da un processo? Sono consapevole, netstatma sembra essere più un'istantanea di un punto nel tempo piuttosto che qualcosa che esegue e registra le informazioni in un determinato periodo.

Ho solo bisogno dell'IP o del nome host, della porta e del processo che effettua la connessione.


1
Bene, potresti fare qualcosa come watch -n 2 netstatnel frattempo, ma non è una soluzione adeguata, vero.
Ulrich Schwarz,

1
[Questa discussione] [1] dovrebbe rispondere alla tua domanda [1]: superuser.com/questions/34782/…
Alien Life Form

Risposte:


15

Su Linux, è possibile configurare il sottosistema di controllo per registrare ogni tentativo di stabilire una connessione di rete. Per informazioni sul sottosistema di controllo, leggere la auditctlpagina man o questa esercitazione o altri esempi su questo sito . Installa il auditdpacchetto della tua distribuzione, se necessario, quindi

auditctl -A exit,always -S connect

I registri sono presenti /var/log/audit/audit.login tutte le distribuzioni che conosco. Puoi anche cercarli con ausearch.


3
Avevo bisogno di identificare quale processo stava effettuando una connessione in uscita. Lo ha fatto all'istante. Per evitare di inondare i tronchi, rimuovere la regola in seguito:auditctl -d exit,always -S connect
Michael Hampton,

Come controllo i registri?
luckydonald

@luckydonaldless /var/log/audit/audit.log
Gilles 'SO- smetti di essere malvagio' il


3

Su Linux, puoi usarlo ip_conntrackper farlo. È un modulo di tracciamento delle connessioni, utilizzato normalmente per monitorare le connessioni per protocolli con comportamenti strani (come FTP) che devono essere gestiti da un firewall / NAT box.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Puoi grep lo pseudo-file per vedere le connessioni stabilite e inoltre grep l'IP di origine per vedere quando proviene dalla tua casella.


La domanda potrebbe non essere necessariamente incentrata su Linux.
Karlson,

0

Vorrei esaminare l'utilizzo tcpdumpsull'interfaccia in uscita guardando le SYNrichieste in uscita .

Se ti senti davvero avventuroso, potresti fare utility come: straceo trusssegnalare tutte connectle chiamate di sistema mentre tracci l'esecuzione del programma, ma questo è un po 'più pericoloso e ha degli svantaggi quando si tratta di processi multithread.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.